全面對比OmniPeek與Sniffer　　

(一) 概述

從DOS版本的Sniffer/EtherPeek開始，這兩個產(chǎn)品就一直是這個領(lǐng)域的一對歡喜冤家。
1997年Sniffer當(dāng)時所擁有的公司NGC(Network General Coporation)收購了
Cinco Systems，后者擁有當(dāng)時最為聞名遐邇的Windows下的分析軟件NetXray。
從此Sniffer披上了Windows的外套，在Windows下也實(shí)現(xiàn)了Sniffer引以為傲的專
家系統(tǒng)。1997年底，NGC和McAfee合并組成Network Associates，從此踏上了
大規(guī)模商業(yè)化的道路。

AG Group早期發(fā)展EtherPeek的步伐有些緩慢，在推出了Macintosh版本的分析軟件并且壟斷了相應(yīng)市場以后，其發(fā)展軌跡也變得更為技術(shù)化。
到2000年以后，WildPackets脫胎于AG Group的傳統(tǒng)建構(gòu)，并且收購了Net3、Optimal Engineering和PMG等一系列產(chǎn)品、培訓(xùn)、服務(wù)企業(yè)，頓時實(shí)力大增，WildPackets也進(jìn)一步把專家系統(tǒng)技術(shù)引入到EtherPeek產(chǎn)品線中，出現(xiàn)了
EtherPeek NX等新的產(chǎn)品。從DOS/Mac跨越到windows 2000平臺，EtherPeek
幾乎被從頭進(jìn)行代碼。
到了2003年以后，WildPackets逐漸羽翼豐滿，終于推出了分布式分析產(chǎn)品
OmniPeek。這個產(chǎn)品足足晚了Sniffer Distributed 8年。

Wireless LAN進(jìn)入市場以后，網(wǎng)絡(luò)分析產(chǎn)品逐漸發(fā)現(xiàn)了一個新的戰(zhàn)場，在Hub時代，網(wǎng)絡(luò)分析產(chǎn)品不需要配置就可以使用，而且當(dāng)時網(wǎng)絡(luò)又確實(shí)漏洞百出。到了 Switch時代，網(wǎng)絡(luò)分析產(chǎn)品逐漸變得更難部署，即使部署，成本也很高。到了無線網(wǎng)絡(luò)環(huán)境，人們發(fā)現(xiàn)，又一個新的hub環(huán)境駕臨了。

可惜的是從1998年完成合并之后，到2004年NAI分裂之前，NAI始終不能對
Sniffer投注于高昂的激情。相對于防病毒市場而言，網(wǎng)絡(luò)分析工具無論是從市場
總量還是增長趨勢都不能與之相提并論。而且更大的問題是網(wǎng)絡(luò)分析通常會被認(rèn)
為比防病毒要高幾個技術(shù)level，Sniffer和McAfee在核心價值上遇到了巨大的抵
觸。
Sniffer停滯了三四年之后，終于獲得了重生的機(jī)會。但是在這個不短的時機(jī)中，WildPackets已經(jīng)快速逼近，甚至已經(jīng)超越。

Network Magazine是網(wǎng)絡(luò)產(chǎn)業(yè)的風(fēng)向標(biāo)之一，在網(wǎng)絡(luò)分析領(lǐng)域，Sniffer曾一直榮獲1997, 1998, 1999, 2000, 2001的年度最佳網(wǎng)絡(luò)分析類產(chǎn)品，然而之后，
2002, 2003年的年度最佳產(chǎn)品桂冠就轉(zhuǎn)移到了WildPackets手中。工欲善其事，
必先利其器。我們在從事網(wǎng)絡(luò)分析、優(yōu)化之前，很重要的一環(huán)就是要準(zhǔn)備好最佳
的工具，之后我們試圖用比較客觀的一下Sniffer和OmniPeek的各類功能以及實(shí)現(xiàn)效果。希望通過這些比較，能夠幫助我們更加深入地了解這兩個產(chǎn)品，熟悉各類功能的使用和應(yīng)用，同時找到最最適合自己的稱手的兵刃。

（二）軟件設(shè)計(jì)

　　從Sniffer Pro和OmniPeek的設(shè)計(jì)而言，兩者代表了不同時代的設(shè)計(jì)理念。

Sniffer Pro從netxray里獲得了圖形化界面以后，就開始試圖建立新的網(wǎng)絡(luò)分析軟件標(biāo)準(zhǔn)。用過Netxray的同志們應(yīng)該都知道，Matrix、Dashboard其實(shí)都是Netxray里就已經(jīng)存在的設(shè)計(jì)。而NGC Sniffer 的最大長處就是Expert System和對各類鏈路的支持。 Expert System顧名思義就是專家系統(tǒng)，自動地根據(jù)網(wǎng)絡(luò)捕獲的數(shù)據(jù)進(jìn)行分析并提供分析結(jié)果。

Netxray的界面設(shè)計(jì)應(yīng)用了后Win31時代和早Win95時期的界面元素，一直保持到現(xiàn)在，頗有點(diǎn)清澀古風(fēng)。在底層設(shè)計(jì)上，現(xiàn)在的Sniffer Pro其實(shí)大量地基于
COM/OLE編程，到了Sniffer Distributed，分布式產(chǎn)品，Sniffer 又把結(jié)構(gòu)延續(xù)到
DCOM。當(dāng)時并不知道后來會有病毒直接利用DCOM，因此整個產(chǎn)品設(shè)計(jì)非常理
想化。 DCOM調(diào)用的規(guī)范相對較為復(fù)雜，這也造成了后期的Sniffer Distributed陷
入了很多問題，諸如界面更新速度、數(shù)據(jù)顯示延遲等等。這也造成了當(dāng)時的
Sniffer人決定把整個產(chǎn)品推向到Web based，事實(shí)證明把這樣復(fù)雜的分析軟
件轉(zhuǎn)換到Web環(huán)境是個徹頭徹尾的錯誤，但是路一旦踏上，就很難有回頭的余地。
我不知道有多少人真正使用過Web-based Sniffer UI，從我個人而言，我并不推薦再去嘗試那個已經(jīng)被停止前進(jìn)的Java applet+Web based的東東。
我深深體會到，作為一個分析工具，必須保證自身的快捷、迅速、準(zhǔn)確，否則，
哪怕功能強(qiáng)大、跨平臺，分析人員也絕對無法依賴一個笨拙、不穩(wěn)定的分析環(huán)
境。

Sniffer Pro的界面在最近6年沒有發(fā)生大的變化，除了因?yàn)閃ireless LAN的產(chǎn)品引入了一些新的元件之外，整個UI一直保持當(dāng)初NetXray時代的樣子。這既是缺點(diǎn)，也是優(yōu)點(diǎn)，一旦熟悉也就可以不用更改任何習(xí)慣。

如果來看看OmniPeek，就會發(fā)現(xiàn)故事在這里是完全不一樣。OmniPeek的設(shè)計(jì)元素里大量應(yīng)用了 Flat Button、TreeView、IE View，使得整個產(chǎn)品很適應(yīng)
Windows XP/2000的環(huán)境。這一點(diǎn)也是后起之秀的優(yōu)勢，可以充分運(yùn)用最新的技
術(shù)。我特地關(guān)注了一下OmniPeek在分布應(yīng)用時候的通訊協(xié)議，很值得一提的
是，OmniPeek避免了任何DCOM的應(yīng)用，采用了自行開發(fā)的一個加密通訊協(xié)議。
很久以來的經(jīng)驗(yàn)都告訴我DCOM協(xié)議既復(fù)雜又不安全，而且不適合Internet應(yīng)
用，因?yàn)镈COM采用了動態(tài)端口范圍進(jìn)行通訊，很難從Firewall上簡單過濾。大家
可以google一下DCOM + Firewall，會有一大堆文章討論如何設(shè)置這種情況。

OmniPeek的開發(fā)環(huán)境迅速從VC++遷移到了VC.net，在OmniPeek的很多設(shè)計(jì)里都已經(jīng)有了一些基本的.NET特性。而相對而言，Sniffer則拘泥于VC 6.0不能自拔。

OmniPeek產(chǎn)品帶來了很多新的氣象，讓我在長期浸淫在Sniffer Pro之后，重新發(fā)現(xiàn)了一個更具魅力的世界。

三、安裝文件結(jié)構(gòu)

1、 Sniffer Pro 4.75 SP4 (最新是4.8) 安裝好以后，占地面積為60M左右。
目錄結(jié)構(gòu)如下
C:\PROGRAM FILES\NAI
└─SnifferNT
├─Driver
├─NetMibs
└─Program
├─AI
├─gbic
├─HTML
│ └─JavaChart
│ └─chart
├─Local
├─Local_2
├─Switch
├─voiceBU
├─Win2K
└─WinXP
Driver目錄下放置了Sniffer Pro支持的幾乎所有網(wǎng)卡適配器的驅(qū)動程序。
NetMibs里放置了部分SNMP mib文件，主要是用來描述Sniffer的Alarm Trap的格式，以及Expert-Event trap的格式。這幾個mib用來和SNMP 平臺例如HP OV等系統(tǒng)集成時有點(diǎn)用。令人感到有興趣的是，NetMibs里還有一個文件叫做art.mib，打開以后可以看到作者是NetScout公司。暫時無法準(zhǔn)確揣度放在這里的目的，但是至少可以看到網(wǎng)絡(luò)分析行業(yè)里的幾個大腕還是互相承認(rèn)的。

Program 目錄里是主要的Sniffer Pro核心文件。每次創(chuàng)建一個Profile會多一個Local打頭的目錄。
比較有用的文件是Sniffer.bet ，可以用來編輯網(wǎng)卡生產(chǎn)廠商的vendor ID，進(jìn)而影響在Sniffer Pro里的顯示結(jié)果。

我比大家多一個 voiceBU子目錄，大家也可以猜猜是為什么。

2、OmniPeek 2.0 安裝完畢以后，大致占用70M左右空間。

├─1033
│ ├─Alarms
│ ├─Documents
│ │ └─Peek SDK
│ │ ├─Docs
│ │ └─Wizards
│ ├─Expert
│ ├─Filters
│ │ └─AppleTalk
│ ├─Graphs
│ ├─Html
│ │ └─QuickTour
│ │ └─p_w_picpaths
│ ├─Names
│ ├─PluginRes
│ ├─Reports
│ │ ├─Auxiliary
│ │ ├─Control
│ │ └─Templates
│ └─Security Audit Template
├─2052
├─Bin
├─Decodes
├─Driver
├─MIBs
├─Plugins
│ └─Mibs
├─RMONGrabber
└─Samples

OmniPeek 目錄下有個名為1033的大目錄，各類模版、文件、HTML的文件都放在該目錄下。
為什么叫做1033呢？因?yàn)?033代碼代表美國英語。而2052則代表中文..
從文件樹可以看到，OmniPeek的設(shè)計(jì)直接面向了國際化，多語言支持可以比較好的實(shí)現(xiàn)在OmniPeek中。這也是困擾Sniffer Pro的多年未有中文版本的原因之一。

OmniPeek的安裝中已經(jīng)包含了所有的SDK開發(fā)包，而Sniffer 的二次開發(fā)需要安裝另外一個額外的被稱為PDK的附加。

四、設(shè)計(jì)理念

　　從兩個軟件的初始界面可以看出非常不同的設(shè)計(jì)理念。
Sniffer啟動完畢以后，出現(xiàn)的是經(jīng)典的DashBoard界面

這個界面也是當(dāng)初cinco systems的NetXRay的經(jīng)典起始界面，Sniffer Pro從4.0版本開始在Dashboard里加入了不少Java特征，從此也引入了很多不穩(wěn)定性和不兼容性，造成了一系列小麻煩。對不起大家，我平時痛恨Java，因此恨烏及屋。 ? ? ? ? ? ?我先來對比一下OmniPeek的起始界面，

可以看到同樣也是差不多的儀表盤。發(fā)明汽車上的儀表盤的工程師們也許沒有想到在信息科技時代仍然可以在網(wǎng)絡(luò)分析領(lǐng)域獲得大力應(yīng)用。 ? ? ? ? ? ?Sniffer Pro的設(shè)計(jì)目標(biāo)偏向于“任務(wù)”，因此在DashBoard里還加入了監(jiān)控的特征，能夠很方便地在初始界面里觀察短期網(wǎng)絡(luò)流量歷史曲線以及Packet尺 寸分布等數(shù)據(jù)。而OmniPeek的設(shè)計(jì)更加面向于“工作”，他會把歷史上打開過的Trace文件列舉在初始界面里，包括幫助、引導(dǎo)文件，以及安全審計(jì)模 板等，都可以在起始界面里直接引用。 ? ? ? ? ? ?另一個面向任務(wù)的設(shè)計(jì)體現(xiàn)在捕獲的設(shè)計(jì)中，在Sniffer Pro里，過濾條件、捕獲設(shè)置是在登錄到某一個Profile以后可以隨意設(shè)置的，例如，默認(rèn)的過濾器是”default”，如果按三角形的捕獲按鈕，可 以直接應(yīng)用當(dāng)前的過濾器開始捕獲。而OmniPeek的面向工作的設(shè)計(jì)就不完全一樣，如果點(diǎn)擊開始新的捕獲，可以當(dāng)時選擇所需捕獲的網(wǎng)卡、過濾器、環(huán)境設(shè) 置等一系列選項(xiàng)。在Sniffer Pro里，如果要更換當(dāng)前捕獲用的網(wǎng)卡，必須更換Settings，如下圖

在Sniffer Pro里的這種設(shè)計(jì)更加證明了面向任務(wù)的設(shè)計(jì)，即當(dāng)前的任務(wù)只需要分析一種網(wǎng)絡(luò)，如果更換捕獲網(wǎng)絡(luò)，前提是更換任務(wù)。不同的Settings保持著完全不同的過濾設(shè)置以及工作習(xí)慣選項(xiàng)。也許Sniffer Pro更加為咨詢?nèi)藛T設(shè)計(jì)，而OmniPeek更加為網(wǎng)絡(luò)管理人員設(shè)計(jì)。 ? ? ? ? ? ?OmniPeek里的每次捕獲前設(shè)置捕獲參數(shù)和捕獲網(wǎng)卡的界面：

設(shè)計(jì)理念的第二個環(huán)節(jié)是打開某一個捕獲的trace 文件后的默認(rèn)初始界面，在這里我不抓屏了。 ? ? ? ? ? ?大家可以發(fā)現(xiàn)，在Sniffer Pro 打開某一個捕獲文件以后，默認(rèn)初始的界面是Expert，即專家系統(tǒng)。而OmniPeek默認(rèn)初始的界面是Decode，即解碼。這也體現(xiàn)了這兩個產(chǎn)品的 非常大的不同思想，Sniffer Pro試圖證明其包含270余種專家系統(tǒng)的分析模塊是最值得察看也同時是最有價值的功能，可以最大化幫助網(wǎng)絡(luò)分析人員的任務(wù)。而OmniPeek到目前為 止仍然堅(jiān)持Decode/解碼是最有效、最核心的策略，盡管OmniPeek也提供90余種專家系統(tǒng)。專家系統(tǒng)到底有沒有用，如何去用？這個問題我們暫且 擱置一下，以后我會專門來對比討論。至少我們可以從這些初始的界面中，對兩者的不同設(shè)計(jì)理念大致可見一斑。

五、按鍵習(xí)慣

嗯？按鍵習(xí)慣也能獨(dú)立成章嗎？這恰恰是網(wǎng)絡(luò)分析軟件的歷史問題的集中表現(xiàn)。大家誰能夠記得Sniffer Pro按什么快捷鍵啟動捕獲嗎？
F10
那么OmniPeek呢？
Ctrl-Y
有點(diǎn)摸不清頭腦了吧？事實(shí)上，這只是一個開始。
如果大家打開Sniffer Pro，打開一個以前保存的捕獲文件，或立即捕獲幾個包，然后Stop Display。選擇Decode Tab，展示著名的三欄解碼界面。按鍵盤F4按鍵，嗯？！，當(dāng)前的欄位被擴(kuò)展成全屏；再按F4，恢復(fù)原有狀態(tài)。如果按F6，則當(dāng)前活動狀態(tài)在三個欄位之間*換，*作鍵盤上下鍵可以非常快速地在解碼域、包列表里上下瀏覽。
如果當(dāng)前切換到解碼欄中，按F4，當(dāng)前包的解完碼的信息被擴(kuò)展到全屏。這時候如果我們想切換到下一個包怎么辦？是不是要F4切換回來然后再用鼠標(biāo)？不必的，直接在解碼全屏情況下按F8就往下瀏覽一個包，而按F7則往前瀏覽一個包。
Sniffer Pro思路里的網(wǎng)絡(luò)分析人員和編程人員一樣，要達(dá)到如臻化境的狀態(tài)，必須能以極快的速度進(jìn)行快速解析分析，如果分析的時候還需要依賴到鼠標(biāo)移來移去，或者在菜單里選來選去，那么很難及時在有限的時間里比別人更快地處理復(fù)雜的問題。
如果更進(jìn)一步挖掘鍵盤功能，就會發(fā)現(xiàn)，如果要在解碼內(nèi)容里搜索一些關(guān)鍵字，可以用Alt+F3來打開一個搜索框…(我經(jīng)常不小心按成Alt+F4….)，為什么快捷鍵會設(shè)置成這樣？似乎和平是的習(xí)慣相差很遠(yuǎn)。熟悉Sniffer Pro的同志們就會明白，這些按鍵都是從DOS時代繼承下來的。從前的Network General的DOS
Sniffer就用這些按鍵進(jìn)行快速使用，當(dāng)時也沒有鼠標(biāo)，所以這些按鍵成為了分析
的必須。DOS Sniffer還有很多更多的快速按鍵，很多當(dāng)初的Sniffer專家直到現(xiàn)在
還在堅(jiān)持使用DOS Sniffer，用異乎尋常的快速速度沉浸在包與包的切換之中。當(dāng)
人們向他們展示W(wǎng)indows Sniffer，他們目瞪口呆，居然Sniffer已經(jīng)成為現(xiàn)在的樣
子。
OmniPeek的快速按鍵同樣也是為了大力提高分析人員的速度，但是更加具備現(xiàn)代氣息，和很多Windows程序一樣，是Ctrl+一系列其他的按鍵。如果能夠熟悉使用，同樣可以很大地提高效率。

盡管微軟曾經(jīng)提出過Windows程序界面設(shè)計(jì)指南，要求所有鼠標(biāo)可以完成的工作必須用鍵盤也能操作。可能至今仍然如此矜持的，除了MS Office之外，網(wǎng)絡(luò)分析軟件們也算是個異數(shù)。不過大多數(shù)網(wǎng)絡(luò)分析人員可能并不領(lǐng)這個情，這些按鍵逐漸成為歷史，成為塵封的記憶…

轉(zhuǎn)載于:https://blog.51cto.com/1841cisco/1228746

總結(jié)

以上是生活随笔為你收集整理的OmniPeek与Sniffer比较区别的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。